# AN0948 — Analytic 0948 ## Descrição Detecta uso anômalo de serviços XPC do macOS para execução de código, monitorando processos que invocam daemons XPC privilegiados com parâmetros incomuns, binários inesperados se comúnicando via `NSXPCConnection`, ou helper tools executando código fora da linhagem de processo esperada. A telemetria inclui eventos do ESF (Endpoint Security Framework), logs de comunicação IPC e correlação entre acessos a daemons de sistema, escalações de privilégio via misconfigurações XPC e injeção de payloads maliciosos via comunicação entre processos. O abuso de XPC é uma técnica sofisticada em macOS que permite escalonamento de privilégios e persistência contornando controles de segurança nativos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN0948](https://attack.mitre.org/detectionstrategies/DET0335#AN0948)*